Por qué debemos apoyar, no castigar, a las mentes curiosas de la seguridad
Los recientes informes sobre el investigador de seguridad adolescente, Bill Demirkapi, que ha sacado a la luz importantes vulnerabilidades en el software utilizado por su escuela, me han traído algunos recuerdos. Recuerdo ser el niño curioso que levantaba el capó del software para echar un vistazo por debajo y ver cómo funcionaba, y lo que es más importante, si podía romperlo. Durante décadas, los ingenieros de software han buscado la mejora continua y la fortificación de sus productos, y la comunidad de seguridad (aunque un poco descarada en su enfoque, a veces) desempeña un papel importante en el descubrimiento de defectos y desastres potenciales, con suerte antes de que un malvado haga lo mismo.
Sin embargo, la cuestión aquí es que en respuesta a sus descubrimientos, llevó una suspensión menor de la escuela. Y eso sólo ocurrió después de que agotara todas las vías para contactar con la empresa(Follett Corporation) de forma privada, optando finalmente por una explosión bastante pública para identificarse a sí mismo y su capacidad para violar su sistema. Sus repetidos intentos de advertir éticamente a Follett Corporation quedaron sin respuesta, mientras que el software seguía siendo vulnerable y las montañas de datos de los estudiantes quedaban expuestas con bastante facilidad, ya que gran parte de ellos estaban sin encriptar.
También buscó fallos en el software de otra empresa: Blackboard. Aunque los datos de Blackboard al menos estaban encriptados, los posibles atacantes podrían haber accedido a millones de registros más. Tanto este software como el producto de Follett estaban en uso en su escuela.
La narrativa del "hacker malvado" es problemática.
Demirkapi presentó sus descubrimientos en la DEF CON de este año, y los detalles más traviesos de sus travesuras fueron aplaudidos por el público. Con razón, en realidad: aunque al principio estuvo en la picota y tuvo que enfrentarse a muchos obstáculos para que se reconocieran sus descubrimientos, se dice que Follett Corporation agradeció sus esfuerzos y siguió sus consejos, haciendo finalmente su software más seguro y evitando la crisis de convertirse en otra estadística de violación de datos. Además, después de terminar el bachillerato, asistirá al Instituto Tecnológico de Rochester, por lo que está claro que va por el buen camino para convertirse en un especialista en seguridad muy demandado.
Como persona que se dedica a la seguridad, es difícil no criticar la forma en que se manejó esta situación. Aunque en este caso todo acaba bien, al principio se le trató como un molesto script kiddie que metía las narices donde no debía. Si se busca el incidente en Google, hay artículos que se refieren a él como un "hacker" (en la mente del profano en seguridad, esto lo sitúa como el villano en muchos sentidos), cuando en realidad su enfoque (y el de muchos otros) es lo que ayuda a mantener nuestros datos seguros.
Necesitamos personas inquisitivas, inteligentes y centradas en la seguridad que miren bajo el capó, y necesitamos que esto ocurra mucho más a menudo. Hasta julio, más de cuatro mil millones de registros han sido expuestos en violaciones de datos maliciosas sólo este año. Se pueden añadir otros cincuenta millones a esta cifra, gracias a la filtración de agosto de la marca de moda y estilo de vida Poshmark.
Cometemos los mismos errores y, lo que es más preocupante, a menudo son simples vulnerabilidades que nos hacen caer en la trampa.
El cross-site scripting y la inyección SQL no han desaparecido.
Tal y como informa WIRED, Demirkapi ha descubierto que el software Blackboards Community Engagement y el sistema de información estudiantil Folletts contienen errores de seguridad comunes como el cross-site scripting (XSS) y la inyección SQL, que han sido pelos en la lengua de los especialistas en seguridad desde la década de 1990. Hemos soportado su existencia durante mucho tiempo, y al igual que las camisetas Hypercolor y los disquetes, ya deberían ser un recuerdo lejano.
Pero no lo son, y está claro que no hay suficientes desarrolladores que demuestren una concienciación de seguridad adecuada para detener la introducción de los mismos en su código. Las herramientas de escaneo y las revisiones manuales del código no pueden hacer mucho, y hay problemas de seguridad mucho más complejos que el XSS y la inyección SQL, en los que estas medidas costosas y que consumen mucho tiempo podrían utilizarse mejor.
Personas como Bill Demirkapi deberían inspirar a los desarrolladores a crear un estándar de código más alto; con tan sólo 17 años, violó dos sistemas de alto tráfico mediante vectores de amenaza que deberían haber sido detectados y corregidos antes de que el código fuera comprometido.
Gamificación: ¿La clave del compromiso?
He escrito mucho sobre por qué los desarrolladores siguen sin comprometerse con la seguridad, y la respuesta corta es que no se está haciendo mucho a nivel organizativo, ni educativo, para fomentar desarrolladores conscientes de la seguridad. Cuando las empresas se toman el tiempo necesario para crear una cultura de seguridad que recompense y reconozca el compromiso, incluyendo la implementación de una formación que hable el lenguaje de los desarrolladores y les motive a seguir intentándolo, estas molestas reliquias de vulnerabilidad empiezan a desaparecer del software que utilizamos.
Demirkapi obviamente tiene un interés extracurricular en la seguridad, y se ha tomado el tiempo para aprender cómo hacer ingeniería inversa de malware, detectar fallos y, bueno, romper cosas que no parecen rotas desde el exterior. Sin embargo, al hablar con VICE (y a través de sus diapositivas de la DEF CON), hizo una interesante declaración sobre su autoeducación... la gamificó:
"Con el objetivo de encontrar algo en el software de mi escuela, fue una forma divertida "gamificada de enseñarme a mí mismo una cantidad significativa de pruebas de penetración. Aunque empecé mi investigación con la intención de aprender más, acabé descubriendo que las cosas eran mucho peores de lo que esperaba", dijo.
Aunque no todos los desarrolladores van a querer especializarse en seguridad, cada uno de ellos debería tener la oportunidad de tomar conciencia de la seguridad, con los fundamentos que sirven casi como una "licencia para codificar" dentro de una organización, especialmente aquellos que controlan masas de nuestros datos sensibles. Si los agujeros de seguridad más simples pueden ser parcheados por todos los desarrolladores antes de que se escriban, estaremos en una posición mucho más segura contra aquellos que buscan causar estragos.
¿Tiene curiosidad por la formación gamificada? Consulte nuestra serie Coders Conquer Security sobre XSS y inyección SQL.
El investigador de seguridad adolescente, Bill Demirkapi, que expuso importantes vulnerabilidades en el software utilizado por su escuela, ciertamente me trajo algunos recuerdos. Recuerdo ser el niño curioso que levantaba el capó del software para echar un vistazo por debajo y ver cómo funcionaba... y si podía romperlo.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Los recientes informes sobre el investigador de seguridad adolescente, Bill Demirkapi, que ha sacado a la luz importantes vulnerabilidades en el software utilizado por su escuela, me han traído algunos recuerdos. Recuerdo ser el niño curioso que levantaba el capó del software para echar un vistazo por debajo y ver cómo funcionaba, y lo que es más importante, si podía romperlo. Durante décadas, los ingenieros de software han buscado la mejora continua y la fortificación de sus productos, y la comunidad de seguridad (aunque un poco descarada en su enfoque, a veces) desempeña un papel importante en el descubrimiento de defectos y desastres potenciales, con suerte antes de que un malvado haga lo mismo.
Sin embargo, la cuestión aquí es que en respuesta a sus descubrimientos, llevó una suspensión menor de la escuela. Y eso sólo ocurrió después de que agotara todas las vías para contactar con la empresa(Follett Corporation) de forma privada, optando finalmente por una explosión bastante pública para identificarse a sí mismo y su capacidad para violar su sistema. Sus repetidos intentos de advertir éticamente a Follett Corporation quedaron sin respuesta, mientras que el software seguía siendo vulnerable y las montañas de datos de los estudiantes quedaban expuestas con bastante facilidad, ya que gran parte de ellos estaban sin encriptar.
También buscó fallos en el software de otra empresa: Blackboard. Aunque los datos de Blackboard al menos estaban encriptados, los posibles atacantes podrían haber accedido a millones de registros más. Tanto este software como el producto de Follett estaban en uso en su escuela.
La narrativa del "hacker malvado" es problemática.
Demirkapi presentó sus descubrimientos en la DEF CON de este año, y los detalles más traviesos de sus travesuras fueron aplaudidos por el público. Con razón, en realidad: aunque al principio estuvo en la picota y tuvo que enfrentarse a muchos obstáculos para que se reconocieran sus descubrimientos, se dice que Follett Corporation agradeció sus esfuerzos y siguió sus consejos, haciendo finalmente su software más seguro y evitando la crisis de convertirse en otra estadística de violación de datos. Además, después de terminar el bachillerato, asistirá al Instituto Tecnológico de Rochester, por lo que está claro que va por el buen camino para convertirse en un especialista en seguridad muy demandado.
Como persona que se dedica a la seguridad, es difícil no criticar la forma en que se manejó esta situación. Aunque en este caso todo acaba bien, al principio se le trató como un molesto script kiddie que metía las narices donde no debía. Si se busca el incidente en Google, hay artículos que se refieren a él como un "hacker" (en la mente del profano en seguridad, esto lo sitúa como el villano en muchos sentidos), cuando en realidad su enfoque (y el de muchos otros) es lo que ayuda a mantener nuestros datos seguros.
Necesitamos personas inquisitivas, inteligentes y centradas en la seguridad que miren bajo el capó, y necesitamos que esto ocurra mucho más a menudo. Hasta julio, más de cuatro mil millones de registros han sido expuestos en violaciones de datos maliciosas sólo este año. Se pueden añadir otros cincuenta millones a esta cifra, gracias a la filtración de agosto de la marca de moda y estilo de vida Poshmark.
Cometemos los mismos errores y, lo que es más preocupante, a menudo son simples vulnerabilidades que nos hacen caer en la trampa.
El cross-site scripting y la inyección SQL no han desaparecido.
Tal y como informa WIRED, Demirkapi ha descubierto que el software Blackboards Community Engagement y el sistema de información estudiantil Folletts contienen errores de seguridad comunes como el cross-site scripting (XSS) y la inyección SQL, que han sido pelos en la lengua de los especialistas en seguridad desde la década de 1990. Hemos soportado su existencia durante mucho tiempo, y al igual que las camisetas Hypercolor y los disquetes, ya deberían ser un recuerdo lejano.
Pero no lo son, y está claro que no hay suficientes desarrolladores que demuestren una concienciación de seguridad adecuada para detener la introducción de los mismos en su código. Las herramientas de escaneo y las revisiones manuales del código no pueden hacer mucho, y hay problemas de seguridad mucho más complejos que el XSS y la inyección SQL, en los que estas medidas costosas y que consumen mucho tiempo podrían utilizarse mejor.
Personas como Bill Demirkapi deberían inspirar a los desarrolladores a crear un estándar de código más alto; con tan sólo 17 años, violó dos sistemas de alto tráfico mediante vectores de amenaza que deberían haber sido detectados y corregidos antes de que el código fuera comprometido.
Gamificación: ¿La clave del compromiso?
He escrito mucho sobre por qué los desarrolladores siguen sin comprometerse con la seguridad, y la respuesta corta es que no se está haciendo mucho a nivel organizativo, ni educativo, para fomentar desarrolladores conscientes de la seguridad. Cuando las empresas se toman el tiempo necesario para crear una cultura de seguridad que recompense y reconozca el compromiso, incluyendo la implementación de una formación que hable el lenguaje de los desarrolladores y les motive a seguir intentándolo, estas molestas reliquias de vulnerabilidad empiezan a desaparecer del software que utilizamos.
Demirkapi obviamente tiene un interés extracurricular en la seguridad, y se ha tomado el tiempo para aprender cómo hacer ingeniería inversa de malware, detectar fallos y, bueno, romper cosas que no parecen rotas desde el exterior. Sin embargo, al hablar con VICE (y a través de sus diapositivas de la DEF CON), hizo una interesante declaración sobre su autoeducación... la gamificó:
"Con el objetivo de encontrar algo en el software de mi escuela, fue una forma divertida "gamificada de enseñarme a mí mismo una cantidad significativa de pruebas de penetración. Aunque empecé mi investigación con la intención de aprender más, acabé descubriendo que las cosas eran mucho peores de lo que esperaba", dijo.
Aunque no todos los desarrolladores van a querer especializarse en seguridad, cada uno de ellos debería tener la oportunidad de tomar conciencia de la seguridad, con los fundamentos que sirven casi como una "licencia para codificar" dentro de una organización, especialmente aquellos que controlan masas de nuestros datos sensibles. Si los agujeros de seguridad más simples pueden ser parcheados por todos los desarrolladores antes de que se escriban, estaremos en una posición mucho más segura contra aquellos que buscan causar estragos.
¿Tiene curiosidad por la formación gamificada? Consulte nuestra serie Coders Conquer Security sobre XSS y inyección SQL.
Los recientes informes sobre el investigador de seguridad adolescente, Bill Demirkapi, que ha sacado a la luz importantes vulnerabilidades en el software utilizado por su escuela, me han traído algunos recuerdos. Recuerdo ser el niño curioso que levantaba el capó del software para echar un vistazo por debajo y ver cómo funcionaba, y lo que es más importante, si podía romperlo. Durante décadas, los ingenieros de software han buscado la mejora continua y la fortificación de sus productos, y la comunidad de seguridad (aunque un poco descarada en su enfoque, a veces) desempeña un papel importante en el descubrimiento de defectos y desastres potenciales, con suerte antes de que un malvado haga lo mismo.
Sin embargo, la cuestión aquí es que en respuesta a sus descubrimientos, llevó una suspensión menor de la escuela. Y eso sólo ocurrió después de que agotara todas las vías para contactar con la empresa(Follett Corporation) de forma privada, optando finalmente por una explosión bastante pública para identificarse a sí mismo y su capacidad para violar su sistema. Sus repetidos intentos de advertir éticamente a Follett Corporation quedaron sin respuesta, mientras que el software seguía siendo vulnerable y las montañas de datos de los estudiantes quedaban expuestas con bastante facilidad, ya que gran parte de ellos estaban sin encriptar.
También buscó fallos en el software de otra empresa: Blackboard. Aunque los datos de Blackboard al menos estaban encriptados, los posibles atacantes podrían haber accedido a millones de registros más. Tanto este software como el producto de Follett estaban en uso en su escuela.
La narrativa del "hacker malvado" es problemática.
Demirkapi presentó sus descubrimientos en la DEF CON de este año, y los detalles más traviesos de sus travesuras fueron aplaudidos por el público. Con razón, en realidad: aunque al principio estuvo en la picota y tuvo que enfrentarse a muchos obstáculos para que se reconocieran sus descubrimientos, se dice que Follett Corporation agradeció sus esfuerzos y siguió sus consejos, haciendo finalmente su software más seguro y evitando la crisis de convertirse en otra estadística de violación de datos. Además, después de terminar el bachillerato, asistirá al Instituto Tecnológico de Rochester, por lo que está claro que va por el buen camino para convertirse en un especialista en seguridad muy demandado.
Como persona que se dedica a la seguridad, es difícil no criticar la forma en que se manejó esta situación. Aunque en este caso todo acaba bien, al principio se le trató como un molesto script kiddie que metía las narices donde no debía. Si se busca el incidente en Google, hay artículos que se refieren a él como un "hacker" (en la mente del profano en seguridad, esto lo sitúa como el villano en muchos sentidos), cuando en realidad su enfoque (y el de muchos otros) es lo que ayuda a mantener nuestros datos seguros.
Necesitamos personas inquisitivas, inteligentes y centradas en la seguridad que miren bajo el capó, y necesitamos que esto ocurra mucho más a menudo. Hasta julio, más de cuatro mil millones de registros han sido expuestos en violaciones de datos maliciosas sólo este año. Se pueden añadir otros cincuenta millones a esta cifra, gracias a la filtración de agosto de la marca de moda y estilo de vida Poshmark.
Cometemos los mismos errores y, lo que es más preocupante, a menudo son simples vulnerabilidades que nos hacen caer en la trampa.
El cross-site scripting y la inyección SQL no han desaparecido.
Tal y como informa WIRED, Demirkapi ha descubierto que el software Blackboards Community Engagement y el sistema de información estudiantil Folletts contienen errores de seguridad comunes como el cross-site scripting (XSS) y la inyección SQL, que han sido pelos en la lengua de los especialistas en seguridad desde la década de 1990. Hemos soportado su existencia durante mucho tiempo, y al igual que las camisetas Hypercolor y los disquetes, ya deberían ser un recuerdo lejano.
Pero no lo son, y está claro que no hay suficientes desarrolladores que demuestren una concienciación de seguridad adecuada para detener la introducción de los mismos en su código. Las herramientas de escaneo y las revisiones manuales del código no pueden hacer mucho, y hay problemas de seguridad mucho más complejos que el XSS y la inyección SQL, en los que estas medidas costosas y que consumen mucho tiempo podrían utilizarse mejor.
Personas como Bill Demirkapi deberían inspirar a los desarrolladores a crear un estándar de código más alto; con tan sólo 17 años, violó dos sistemas de alto tráfico mediante vectores de amenaza que deberían haber sido detectados y corregidos antes de que el código fuera comprometido.
Gamificación: ¿La clave del compromiso?
He escrito mucho sobre por qué los desarrolladores siguen sin comprometerse con la seguridad, y la respuesta corta es que no se está haciendo mucho a nivel organizativo, ni educativo, para fomentar desarrolladores conscientes de la seguridad. Cuando las empresas se toman el tiempo necesario para crear una cultura de seguridad que recompense y reconozca el compromiso, incluyendo la implementación de una formación que hable el lenguaje de los desarrolladores y les motive a seguir intentándolo, estas molestas reliquias de vulnerabilidad empiezan a desaparecer del software que utilizamos.
Demirkapi obviamente tiene un interés extracurricular en la seguridad, y se ha tomado el tiempo para aprender cómo hacer ingeniería inversa de malware, detectar fallos y, bueno, romper cosas que no parecen rotas desde el exterior. Sin embargo, al hablar con VICE (y a través de sus diapositivas de la DEF CON), hizo una interesante declaración sobre su autoeducación... la gamificó:
"Con el objetivo de encontrar algo en el software de mi escuela, fue una forma divertida "gamificada de enseñarme a mí mismo una cantidad significativa de pruebas de penetración. Aunque empecé mi investigación con la intención de aprender más, acabé descubriendo que las cosas eran mucho peores de lo que esperaba", dijo.
Aunque no todos los desarrolladores van a querer especializarse en seguridad, cada uno de ellos debería tener la oportunidad de tomar conciencia de la seguridad, con los fundamentos que sirven casi como una "licencia para codificar" dentro de una organización, especialmente aquellos que controlan masas de nuestros datos sensibles. Si los agujeros de seguridad más simples pueden ser parcheados por todos los desarrolladores antes de que se escriban, estaremos en una posición mucho más segura contra aquellos que buscan causar estragos.
¿Tiene curiosidad por la formación gamificada? Consulte nuestra serie Coders Conquer Security sobre XSS y inyección SQL.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Los recientes informes sobre el investigador de seguridad adolescente, Bill Demirkapi, que ha sacado a la luz importantes vulnerabilidades en el software utilizado por su escuela, me han traído algunos recuerdos. Recuerdo ser el niño curioso que levantaba el capó del software para echar un vistazo por debajo y ver cómo funcionaba, y lo que es más importante, si podía romperlo. Durante décadas, los ingenieros de software han buscado la mejora continua y la fortificación de sus productos, y la comunidad de seguridad (aunque un poco descarada en su enfoque, a veces) desempeña un papel importante en el descubrimiento de defectos y desastres potenciales, con suerte antes de que un malvado haga lo mismo.
Sin embargo, la cuestión aquí es que en respuesta a sus descubrimientos, llevó una suspensión menor de la escuela. Y eso sólo ocurrió después de que agotara todas las vías para contactar con la empresa(Follett Corporation) de forma privada, optando finalmente por una explosión bastante pública para identificarse a sí mismo y su capacidad para violar su sistema. Sus repetidos intentos de advertir éticamente a Follett Corporation quedaron sin respuesta, mientras que el software seguía siendo vulnerable y las montañas de datos de los estudiantes quedaban expuestas con bastante facilidad, ya que gran parte de ellos estaban sin encriptar.
También buscó fallos en el software de otra empresa: Blackboard. Aunque los datos de Blackboard al menos estaban encriptados, los posibles atacantes podrían haber accedido a millones de registros más. Tanto este software como el producto de Follett estaban en uso en su escuela.
La narrativa del "hacker malvado" es problemática.
Demirkapi presentó sus descubrimientos en la DEF CON de este año, y los detalles más traviesos de sus travesuras fueron aplaudidos por el público. Con razón, en realidad: aunque al principio estuvo en la picota y tuvo que enfrentarse a muchos obstáculos para que se reconocieran sus descubrimientos, se dice que Follett Corporation agradeció sus esfuerzos y siguió sus consejos, haciendo finalmente su software más seguro y evitando la crisis de convertirse en otra estadística de violación de datos. Además, después de terminar el bachillerato, asistirá al Instituto Tecnológico de Rochester, por lo que está claro que va por el buen camino para convertirse en un especialista en seguridad muy demandado.
Como persona que se dedica a la seguridad, es difícil no criticar la forma en que se manejó esta situación. Aunque en este caso todo acaba bien, al principio se le trató como un molesto script kiddie que metía las narices donde no debía. Si se busca el incidente en Google, hay artículos que se refieren a él como un "hacker" (en la mente del profano en seguridad, esto lo sitúa como el villano en muchos sentidos), cuando en realidad su enfoque (y el de muchos otros) es lo que ayuda a mantener nuestros datos seguros.
Necesitamos personas inquisitivas, inteligentes y centradas en la seguridad que miren bajo el capó, y necesitamos que esto ocurra mucho más a menudo. Hasta julio, más de cuatro mil millones de registros han sido expuestos en violaciones de datos maliciosas sólo este año. Se pueden añadir otros cincuenta millones a esta cifra, gracias a la filtración de agosto de la marca de moda y estilo de vida Poshmark.
Cometemos los mismos errores y, lo que es más preocupante, a menudo son simples vulnerabilidades que nos hacen caer en la trampa.
El cross-site scripting y la inyección SQL no han desaparecido.
Tal y como informa WIRED, Demirkapi ha descubierto que el software Blackboards Community Engagement y el sistema de información estudiantil Folletts contienen errores de seguridad comunes como el cross-site scripting (XSS) y la inyección SQL, que han sido pelos en la lengua de los especialistas en seguridad desde la década de 1990. Hemos soportado su existencia durante mucho tiempo, y al igual que las camisetas Hypercolor y los disquetes, ya deberían ser un recuerdo lejano.
Pero no lo son, y está claro que no hay suficientes desarrolladores que demuestren una concienciación de seguridad adecuada para detener la introducción de los mismos en su código. Las herramientas de escaneo y las revisiones manuales del código no pueden hacer mucho, y hay problemas de seguridad mucho más complejos que el XSS y la inyección SQL, en los que estas medidas costosas y que consumen mucho tiempo podrían utilizarse mejor.
Personas como Bill Demirkapi deberían inspirar a los desarrolladores a crear un estándar de código más alto; con tan sólo 17 años, violó dos sistemas de alto tráfico mediante vectores de amenaza que deberían haber sido detectados y corregidos antes de que el código fuera comprometido.
Gamificación: ¿La clave del compromiso?
He escrito mucho sobre por qué los desarrolladores siguen sin comprometerse con la seguridad, y la respuesta corta es que no se está haciendo mucho a nivel organizativo, ni educativo, para fomentar desarrolladores conscientes de la seguridad. Cuando las empresas se toman el tiempo necesario para crear una cultura de seguridad que recompense y reconozca el compromiso, incluyendo la implementación de una formación que hable el lenguaje de los desarrolladores y les motive a seguir intentándolo, estas molestas reliquias de vulnerabilidad empiezan a desaparecer del software que utilizamos.
Demirkapi obviamente tiene un interés extracurricular en la seguridad, y se ha tomado el tiempo para aprender cómo hacer ingeniería inversa de malware, detectar fallos y, bueno, romper cosas que no parecen rotas desde el exterior. Sin embargo, al hablar con VICE (y a través de sus diapositivas de la DEF CON), hizo una interesante declaración sobre su autoeducación... la gamificó:
"Con el objetivo de encontrar algo en el software de mi escuela, fue una forma divertida "gamificada de enseñarme a mí mismo una cantidad significativa de pruebas de penetración. Aunque empecé mi investigación con la intención de aprender más, acabé descubriendo que las cosas eran mucho peores de lo que esperaba", dijo.
Aunque no todos los desarrolladores van a querer especializarse en seguridad, cada uno de ellos debería tener la oportunidad de tomar conciencia de la seguridad, con los fundamentos que sirven casi como una "licencia para codificar" dentro de una organización, especialmente aquellos que controlan masas de nuestros datos sensibles. Si los agujeros de seguridad más simples pueden ser parcheados por todos los desarrolladores antes de que se escriban, estaremos en una posición mucho más segura contra aquellos que buscan causar estragos.
¿Tiene curiosidad por la formación gamificada? Consulte nuestra serie Coders Conquer Security sobre XSS y inyección SQL.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Panorama de la gestión de riesgos de los promotores
La gestión de riesgos del desarrollador es un enfoque holístico y proactivo de la seguridad de las aplicaciones, centrado en quienes contribuyen al código y no en los bits y bytes de la propia capa de la aplicación.
Seguridad desde el diseño: Definición de las mejores prácticas, capacitación de los desarrolladores y evaluación comparativa de los resultados de la seguridad preventiva
En este documento de investigación, los cofundadores Secure Code Warrior , Pieter Danhieux y el Dr. Matias Madou, Ph.D., junto con los expertos colaboradores, Chris Inglis, ex Director Nacional Cibernético de EE.UU. (ahora Asesor Estratégico de Paladin Capital Group), y Devin Lynch, Director Senior, Paladin Global Institute, revelarán los hallazgos clave de más de veinte entrevistas en profundidad con líderes de seguridad empresarial, incluyendo CISOs, un VP de Seguridad de Aplicaciones y profesionales de seguridad de software.
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
Encontrar datos significativos sobre el éxito de las iniciativas Secure-by-Design es notoriamente difícil. Los responsables de la seguridad de la información se enfrentan a menudo al reto de demostrar el rendimiento de la inversión (ROI) y el valor empresarial de las actividades de los programas de seguridad, tanto a nivel de las personas como de la empresa. Por no mencionar que a las empresas les resulta especialmente difícil obtener información sobre cómo se comparan sus organizaciones con los estándares actuales del sector. La Estrategia Nacional de Ciberseguridad del Presidente desafió a las partes interesadas a "adoptar la seguridad y la resiliencia desde el diseño". La clave para que las iniciativas de seguridad por diseño funcionen no es sólo dotar a los desarrolladores de las habilidades necesarias para garantizar un código seguro, sino también garantizar a los reguladores que esas habilidades están en su lugar. En esta presentación, compartimos una miríada de datos cualitativos y cuantitativos, derivados de múltiples fuentes primarias, incluidos puntos de datos internos recogidos de más de 250.000 desarrolladores, opiniones de clientes basadas en datos y estudios públicos. Aprovechando esta agregación de puntos de datos, pretendemos comunicar una visión del estado actual de las iniciativas Secure-by-Design en múltiples verticales. El informe detalla por qué este espacio está actualmente infrautilizado, el impacto significativo que un programa de mejora de las competencias puede tener en la mitigación de los riesgos de ciberseguridad y el potencial para eliminar categorías de vulnerabilidades de un código base.
Servicios profesionales - Acelerar con experiencia
El equipo de servicios de estrategia de programas (PSS) de Secure Code Warriorle ayuda a crear, mejorar y optimizar su programa de codificación segura. Tanto si empieza de cero como si está perfeccionando su enfoque, nuestros expertos le proporcionarán orientación personalizada.
Recursos para empezar
Revelado: Cómo define el sector cibernético la seguridad por diseño
En nuestro último libro blanco, nuestros cofundadores, Pieter Danhieux y el doctor Matias Madou, se sentaron con más de veinte líderes de seguridad empresarial, incluidos CISO, líderes de AppSec y profesionales de la seguridad, para averiguar las piezas clave de este rompecabezas y descubrir la realidad detrás del movimiento Secure by Design. Se trata de una ambición compartida por todos los equipos de seguridad, pero no de un libro de jugadas compartido.
¿Vibe Coding va a convertir tu código en una fiesta de fraternidad?
Vibe Coding es como una fiesta de fraternidad universitaria, y la IA es la pieza central de todos los festejos, el barril. Es muy divertido dar rienda suelta a la creatividad y ver adónde te lleva tu imaginación, pero después de unas cuantas borracheras, beber (o usar IA) con moderación es, sin duda, la solución más segura a largo plazo.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
